Ik heb een simpele vraag.
Ten eerste ik heb op google en hier rond gekeken en zie vrij veel voorbeelden.
Dit is niet mijn probleem om het zo te zeggen.
Ik heb het volgende script geschreven wat perfect werkt.
Maar mijn vraag is of dit eigenlijk wel veilig is?
Ik had het mapje eerst met een .htaccess en .htpasswd beveiliged maar er gaan verschillende account komen en dan zouden ze 2 keer moeten inloggen voor de map en dan voor hun account.
Dus ik dacht ik kijk even of ik die gegevens kan uitlezen van de eerste login.
Ik kwam om de bovenstaande script.
Volgens mij is dit bijna even veilig als .htaccess maar dat weet ik dus niet zeker.
Daarom mijn vraag is werken met header en zo uit php lezen veilig om een site te beveiligen ?
Ten eerste ik heb op google en hier rond gekeken en zie vrij veel voorbeelden.
Dit is niet mijn probleem om het zo te zeggen.
Ik heb het volgende script geschreven wat perfect werkt.
PHP:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
| if(!isset($_SERVER['PHP_AUTH_USER'])) { Header("WWW-Authenticate: Basic realm=\"Login\""); Header("HTTP/1.0 401 Unauthorized"); echo "Je heb op annuleren geklikt<br />Hierdoor ben je niet bevoegd om deze site te bezoeken.\n"; exit; } else { //Funcie voor mysql injection tegen te gaan function quote_smart($value) { // Stripslashes if (get_magic_quotes_gpc()) { $value = stripslashes($value); } //Controleer of query een string is if (is_string($value)) { require('connect.php'); $value = mysql_real_escape_string($value); mysql_close($verbinding); } return trim($value); } $gebruiker = quote_smart($_SERVER['PHP_AUTH_USER']); $wachtwoord = md5($_SERVER['PHP_AUTH_PW']); require('connect.php'); $query = "SELECT Id FROM dvdtrix_gebruikers WHERE Gebruikersnaam = '$gebruiker' AND Wachtwoord = '$wachtwoord'"; $result = mysql_query($query) or die ('<p>Fout tijdens het inloggen:</p><p>' . mysql_error() . '</p>'); if (mysql_num_rows($result) == '1') { while ($rij = mysql_fetch_assoc($result)) { $_SESSION['gebid'] = quote_smart($rij['Id']); $_SESSION['ipadres'] = $_SERVER['REMOTE_ADDR']; echo '<script>location.href="home.php"</script>'; } } else { Header("WWW-Authenticate: Basic realm=\"Login\""); Header("HTTP/1.0 401 Unauthorized"); echo "Je heb op annuleren geklikt<br />Hierdoor ben je niet bevoegd om deze site te bezoeken.\n"; exit; } echo "Hallo ".$_SERVER['PHP_AUTH_USER']."<P>"; echo "Je gebruikte ".$_SERVER['PHP_AUTH_PW']." als je password.<P>"; } |
Maar mijn vraag is of dit eigenlijk wel veilig is?
Ik had het mapje eerst met een .htaccess en .htpasswd beveiliged maar er gaan verschillende account komen en dan zouden ze 2 keer moeten inloggen voor de map en dan voor hun account.
Dus ik dacht ik kijk even of ik die gegevens kan uitlezen van de eerste login.
Ik kwam om de bovenstaande script.
Volgens mij is dit bijna even veilig als .htaccess maar dat weet ik dus niet zeker.
Daarom mijn vraag is werken met header en zo uit php lezen veilig om een site te beveiligen ?